Mellékleteink: HUP | Gamekapocs
Keres
React Native, Kotlin, Flutter, Flux, WebAssembly, Java, Android... + app security. Nettó 20 óra fejlesztői tartalom, HWSW mobile!, november 29-30!

Megerősített biztonságot kínál a Google

Gálffy Csaba, 2017. október 19. 09:49

Nem egyszerű használni, de veszélyeztetett fiókoknál megérheti: kétfaktoros beléptetés, szigorított API-k és az elfelejtett jelszó sem könnyű támadási vektor. Cserébe szó szerint kulccsal nyílik a fiók.

Kimondottan a legnagyobb veszélynek kitett fiókokhoz kínál megerősített védelmet a Google - jelentette be a vállalat a héten. Az Advanced Protection Program azokat a felhasználókat szeretné megvédeni, amelyek rendszeresen célzott támogatások alatt vannak. A Google több példát is mond: ilyen védelem ajánlott például a különböző a pártok kampánystábjainak, kényes adatokkal és forrásokkal dolgozó újságíróknak vagy épp problémás kapcsolatban élőknek. Ami a csoportot összeköti: rendszeresen vannak kitéve célzott, kimondottan az áldozatra szabott támadásnak.

Kényelem vs biztonság

A kényelem és a biztonság sokszor egy csúszka két végpontját jelenti, ebben az APP néhány fokozattal a biztonság felé mozdul az alapértelmezett Google-fiókhoz képest - cserébe viszont kevésbé egyszerű a használata.

Jelenleg az APP három különböző védelmet kínál, de a Google ígérete szerint a jövőben további megoldások is élesednek majd. Az első a phishing támadások elleni védelem: ehhez kétfaktoros beléptetést használ a rendszer, ráadásul dedikált, hardveres tokennel. Ez azt is jelenti, hogy az APP aktiválásához némi beruházásra van szükség, be kell szerezni egy U2F (Universal 2nd Factor) protokollal kompatibilis eszközt. Ez lehet USB-alapú vagy bluetoothos, a lényeg, hogy a rendszer nem fog beengedni addig, míg ez nincs a kezünkben. A phishing támadás szerzője így hiába szerzi meg a fiókhoz tartozó jelszót, a második faktor hiányában nem tud hozzáférni a fiókhoz.

multipass

Ilyen kulcs nyitja az APP-védett fiókokat.

A második védelmi szint a nem szándékos megosztást igyekszik kivédeni. A Google a saját SaaS-szolgáltatásaihoz (Drive, Gmail, stb.) komplex API-t kínál külső fejlesztőknek, amelyen keresztül saját megoldásokat építhetnek a cég platformjára. Ez azonban azt is jelenti, hogy ha a felhasználó ezt leokézza, akkor hozzáférést tud adni egy támadónak a fiók tartalmához - akár nem szándékosan is. Az APP-t bekapcsolva ezeket az API-kat a Google korlátozza, és csak szigorú minősítésen átmenő fejlesztőknek adja meg a hozzáférést ilyenkor.

A harmadik védelem pedig az elveszített jelszó/token esetén aktivált folyamatot módosítja. A rendes Google-fiókok esetében is több lépcsős a (legitim) hozzáférés helyreállítása, az APP-s fiókoknál azonban még sokkal szigorúbb a folyamat, további ellenőrzésekkel és biztonsági kérdésekkel. Ez azt hivatott megakadályozni, hogy a kétfaktoros beléptetést ne tudják a támadók így megkerülni - például egy másodlagos email-cím jelszavának megszerzésével.

A megoldást egy ideje már teszteli a Google újságírókkal és a célcsoport más tagjaival, a visszajelzések alapján pedig sokat finomodott a rendszer működése. Az APP immár széles körben elérhető opció minden Google-fiókhoz. Egyetlen kikötés, hogy Chrome használata szükséges hozzá, mivel ez támogatja a szükséges U2F protokollt - de a támogatott böngészők köre bővül majd, ahogy mások is beépítik a támogatást.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
React Native, Kotlin, Flutter, Flux, WebAssembly, Java, Android... + app security. November 29-30!